誤區(qū)一：

一些客戶經(jīng)常問：我們做完等保測評之后，多久可以拿到證書？很多人把等保測評等同于安全認證。

《中華人民共和國網(wǎng)絡(luò)安全法》中第二十一條明確規(guī)定：

由此可見，等保測評并非相當于ISO 20000系列的信息技術(shù)服務(wù)管理認證，也并非于ISO27000系列的信息安全管理體系認證。

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定

等級保護制度是國家信息安全管理的制度，是國家意志的體現(xiàn)。落實等級保護制度為了國家法律法規(guī)的合規(guī)需求。

等級保護測評沒有相應(yīng)的證書，如何才能證明信息系統(tǒng)已經(jīng)符合等級保護安全要求了呢？

目前這主要是由公安部授權(quán)委托的全國一百多家測評機構(gòu)，對信息系統(tǒng)進行安全測評，測評通過后出具《等級保護測評報告》，拿到了符合等保安全要求的測評報告就證明該信息系統(tǒng)符合等級保護的安全要求。

誤區(qū)二：

系統(tǒng)上云或者托管，在其他地方就不需做等保測評了。

目前，比較多的小型企業(yè)客戶偏向于把系統(tǒng)部署在云平臺與IDC機房。這些云平臺、IDC機房一般都通過了等保測評。不過，根據(jù)“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則，系統(tǒng)責任主體仍然還是屬于網(wǎng)絡(luò)運營者自己。

所以，還是得承擔相應(yīng)的網(wǎng)絡(luò)安全責任，進行系統(tǒng)定級或開展等保測評工作。

部署在云平臺的系統(tǒng)還需要購買云平臺的安全服務(wù)或者第三方安全服務(wù)，部署在IDC機房的系統(tǒng)還需要購買相應(yīng)的安全設(shè)備以滿足等保安全要求。

誤區(qū)三：

可根據(jù)自己的主觀意愿來定級。

一些客戶擔心：系統(tǒng)定級定高了，后期給自己工作增加麻煩，一方面等級高了，技術(shù)要求高了，需要做的工作多了；另一方面，三級系統(tǒng)需要每年都做測評，也覺得麻煩。所以想著系統(tǒng)定個二級就可以了，自己省事。

? 目前的等級保護對象（信息系統(tǒng)）的安全級別分為五個等級：

? 一級為最低級別，五級為最高級別（五級為預(yù)留級別，市面上已定級的系統(tǒng)最高為4級）。

? 如果定了一級，不需要做等保測評，自主進行保護即可。定二級以上就需要進行等保測評。

系統(tǒng)級別的確定需要根據(jù)系統(tǒng)的重要性進行決定。如果定高了，有可能造成投資的浪費；定低了則有可能造成重要信息系統(tǒng)得不到應(yīng)有的保護，應(yīng)該謹慎定級。

等保1.0的要求是自主定級，有主管部門的需要主管部門審核，最終報送公安機關(guān)進行審核。

等保2.0之后定級流程新增了“專家評審”和“主管部門審核”兩個環(huán)節(jié)，這樣定級過程將會變得更加規(guī)范，定級也會更加準確。

注：以上內(nèi)容均為自媒體平臺“網(wǎng)易號”上傳并發(fā)布，本平臺轉(zhuǎn)載的目的在于傳遞更多相關(guān)信息，如有侵權(quán)，請聯(lián)系刪除。